随着数字化时代的深入推进,网络安全成为全球关注的焦点,而漏洞识别与管理系统在保障网络环境稳定方面扮演着至关重要的角色。Common Vulnerabilities and Exposures(简称CVE)作为国际公认的漏洞标识标准,自1999年由非营利组织MITRE运营以来,一直是安全研究者、厂商和政府机构协作的核心基础。然而,近年来美国网络安全与基础设施安全局(CISA)对CVE项目的掌控意图愈发明显,甚至几乎导致该项目面临停摆,引发业界对未来管理权归属的激烈争论。2025年被CISA定位为CVE由"增长时代"向"质量时代"转变的关键之年,CISA高层公开表示,漏洞识别的国家安全保障离不开由政府主导的可靠体系。此举明确传递了CISA希望夺取并稳固对CVE项目掌控权的决心。事实上,早在今年年初,CISA就差点未能及时续约MITRE负责的CVE合同,险些导致该项目停摆。
此事令CVE董事会成员措手不及,反映出管理层内部沟通不畅及资金保障出现隐忧。同时,为了确保CVE项目的长期独立性和国际化协调,一批核心成员推动设立了CVE基金会,旨在通过多方资金支持和去政治化治理,打造一个中立、透明且具有国际视野的组织来接管该计划。CVE基金会坚持认为,只有在广泛的公共、私营和非营利组织共同参与下,才能保证漏洞识别的公正性和持久性。CISA对此持明显反对态度,认为将关键国家安全要素交予非政府机构或私营企业存在利益冲突风险,可能因追逐商业利益而淡化国家安全考量。CISA高层尤其是执行助理主任尼古拉斯·安德森在公开场合强调,没有一个政府主导且可信赖的漏洞识别系统,国家网络防御就无从谈起。CISA也宣称,在过去几年中,政府机构与MITRE及CVE董事会紧密合作,推动项目发展,并非以华盛顿命令为主导,而是协同共建。
值得注意的是,CISA的愿景文件中隐含承认此前管理上的失误与混乱,但也暴露出其加强控制权的强烈意图。文件指出,其他潜在管理模式存在的利益冲突反而凸显了CISA承担长期管理责任的必要性。作为项目长期运营方的MITRE组织对此反应低调,表达继续支持与协助的意愿,期待项目能延续其全球资源地位。与此同时,CISA对于未来具体的管理框架保持缄默,仅将关注者引向其愿景文件及官方博客,避免对外透露更多细节。此种态势对依赖CVE信息的安全厂商、研究社区及国际合作伙伴无疑带来不确定性与忧虑。漏洞识别体系本质上需保持高透明度与开放性,且受多方监督才能减少偏颇与人为干预。
而政府过度集权风险则可能牵制平衡发展,限制行业多元参与度,从而对全球安全生态产生负面影响。从更广泛层面来看,此次CISA与CVE基金会之间的矛盾折射了国家安全利益与开放治理理念的不可调和紧张,也体现出在数字主权与全球协作之间日益复杂的权力博弈。当前,随着漏洞数据成为网络武器库的重要组成部分,谁来掌握这套标准和数据,涉及的不仅仅是技术管理,更攸关国家安全、国际规则制定和产业竞争力。未来,围绕CVE项目的治理结构变革将成为业界持续关注的焦点。全球安全界期盼能够构建一个既保障安全国家利益又兼顾多元和透明的治理模式,促进信息共享与协同防御,而非简单的政府独裁或商业垄断。在此背景下,中国及其他国家的网络安全政策制定者和企业同样需要密切关注CVE项目的走向,积极参与国际规则的制定与协作,以保障自身网络空间安全利益。
总结来看,CISA希望维持对CVE项目的主导权,反映出政府在网络安全关键基础设施控制上的战略思考,但同时也带来了治理治理模式走向何方的重大挑战。如何平衡国家安全与开放合作,技术创新与公平透明,将决定全球漏洞识别与应对体系的未来发展路径。网络安全生态系统的繁荣离不开公正、稳定且具备包容性的漏洞管理机制,这要求各方在分歧中寻求共识,推动CVE项目建立更加健康和具有前瞻性的治理框架。只有如此,广大网络安全从业者和用户才能真正获益,抵御日益复杂的网络威胁,共同维护数字社会的安全与繁荣。 。
